एक पेशेवर ह्याकरले $९०,००० को स्ट्याक गरिएको AVAX भएको सम्झौता गरिएको क्रिप्टो वालेटमा स्वीपर बट स्थापना गर्यो। ह्याकरले दाबी गर्नु अघि हामीसँग Avalanche को P-chain मा यी रकमहरू बचत गर्न एक हप्ता थियो। यो हामीले कसरी आफ्नै बट कोड गर्यौं, ब्लकचेनको अँध्यारो जंगलमा लड्यौं र विजयी भयौं भन्ने कथा हो।
परिचय
एउटा क्रिप्टो खाताको निजी कुञ्जी चोरी भएको थियो, र वालेटमा एउटा दुर्भावनापूर्ण बोट स्थापना गरिएको थियो। यो ह्याक गरिएको खाता भित्र, $९०,००० मूल्यको स्ट्याक गरिएको AVAX थियो, जुन ठीक एक हप्तामा अनलक हुने गरी सेट गरिएको थियो। त्यो स्ट्याकिंग अवधि समाप्त भएपछि, ह्याकरले सबै कुरा दाबी गर्ने प्रयास गर्नेछ।
यहाँ समस्या छ: किनभने यो वालेटमा स्वीपर बट जडान गरिएको थियो, ह्याकरले तुरुन्तै "स्वेप्ट" नगरी खाताबाट कुनै पनि सामान्य कारोबार गर्न सकिँदैन। शुल्कको रूपमा AVAX को थोरै अंश पठाउँदा पनि बटले यसलाई चोर्न ट्रिगर गर्नेछ, जसले गर्दा स्टक गरिएको रकम पुन: प्राप्ति गर्न असम्भव देखिन्छ।
तर ब्लकचेन सुरक्षाको संसारमा, केहि पनि साँच्चै असम्भव छैन। हामीसँग सात दिन र मद्दत गर्न एक शक्तिशाली समुदाय थियो। यो कथाले कसरी हामीले खतरनाक बोटलाई जित्यौं, एभलान्चेको पी-चेनको हाम्रो ज्ञान प्रयोग गर्यौं, र $९०,००० AVAX बचाउन सफल भयौं भन्ने विवरण दिन्छ।
म को हुँ?
मलाई पहिलो पटक पढिरहनु भएकाहरूका लागि:
"म एक ब्लकचेन सुरक्षा विशेषज्ञ र स्मार्ट अनुबंध लेखा परीक्षक हुँ। मैले धेरै क्रिप्टो परियोजनाहरूको लेखा परीक्षण गरेको छु र पछिल्ला तीन वर्षहरू सम्झौता गरिएका वालेटहरूबाट हराएको टोकनहरू पुन: प्राप्त गर्न बिताएको छु। मेरो प्राथमिक विशेषज्ञता ब्लकचेनमा बोट वारफेयर हो - विशेष गरी कसरी बटहरूले स्मार्ट अनुबंधहरूसँग काम गर्छन्।"
तपाईंले मलाई ट्विटर (X) मा @0xSmartContract मा फेला पार्न सक्नुहुन्छ।
वर्षौंदेखि, मैले अनगिन्ती सम्झौता गरिएका वालेटहरूबाट टोकनहरू उद्धार गर्न मद्दत गरेको छु। यदि तपाईंले कहिल्यै आफूलाई ब्लकचेनको "अँध्यारो जंगल" मा हराएको पाउनुभयो भने, तपाईं सही ठाउँमा हुनुहुन्छ। उद्धार कार्यहरूको थप उदाहरणहरूको लागि, $२६ हजार मूल्यको टोकनहरू बचत गर्न स्वीपर बटलाई बाइपास गर्ने बारे मेरो अघिल्लो ह्याकरनून कथा हेर्न नहिचकिचाउनुहोस्: हामीले कसरी स्वीपर बटलाई बाइपास गर्यौं र ब्लकचेनको अँध्यारो जंगलमा $२६ हजार टोकनहरू बचायौं?
मलाई विश्वभरका ती व्यक्तिहरूबाट दैनिक कम्तिमा चार वा पाँच सन्देशहरू प्राप्त हुन्छन् जसका खाताहरू ह्याक भएका छन्। गत वर्षमा क्रिप्टोमा बढ्दो विश्वव्यापी चासोको कारणले गर्दा यसमा वृद्धि भएको छ - र यसरी, यसमा ध्यान केन्द्रित गर्ने अपराधीहरू बढी छन्। बटहरू प्रायः अपराधी हुन्छन्, किनकि तिनीहरू स्वीपिङ र फ्रन्ट-रनिङमा उत्कृष्ट हुन्छन्। तिनीहरू आर्बिट्रेज, MEV (माइनर एक्स्ट्र्याक्टेबल मान) रणनीतिहरू, वा तुरुन्तै मेम टोकनहरू खरिद गर्नमा पनि उत्कृष्ट हुन सक्छन्। तर आक्रमणकारीले रकम चोर्न तयार नभएसम्म सम्झौता गरिएको वालेटलाई कुनै पनि लेनदेन गर्नबाट रोक्नमा तिनीहरू विशेष गरी शक्तिशाली छन्।
मद्दतको लागि आह्वान: १ हप्ताको समयसीमा
"मलाई एक प्रयोगकर्ताबाट सन्देश प्राप्त भयो। उनीहरूको बीज वाक्यांश चोरी भयो, र उनीहरूको सबै तत्काल उपलब्ध रकम खेर गयो। तर ह्याकरले वालेटमा प्रवेश गरेको अरू कुनै पनि चीज हडप्नको लागि बोट छोड्यो। अब, ह्याकर Avalanche P-chain मा ७ दिनमा $९०,००० AVAX अनटेक हुने प्रतीक्षामा थियो।"
समस्या: यस वालेटबाट लेनदेन पठाउने कुनै पनि प्रयास (ग्यास शुल्क पनि) ह्याकरको बोटद्वारा तुरुन्तै बग्नेछ, जसले गर्दा कुनै पनि अतिरिक्त सम्पत्ति स्थानान्तरण गर्न असम्भव देखिन्छ।
ह्याकरको विधि: ह्याकरहरूले प्रायः यी बटहरू स्थापना गर्छन् ताकि एक पटक वालेटमा सम्झौता गरेपछि, पहिले भुक्तानी नगरी अरू कसैले पनि सफलतापूर्वक कुनै पनि रकम सार्न नसकोस्। यदि तिनीहरूले कुनै आगमन सिक्का पत्ता लगाए वा पीडितले दांव/अनस्टेक गर्ने प्रयास गरे भने, बटले तुरुन्तै ती सिक्काहरू ह्याकरको वालेटमा पठाउँछ।
यस अवस्थामा, ह्याकरले LinkedIn मा एक वास्तविक ब्लकचेन परियोजना अधिकारीको रूपमा पनि प्रस्तुत गरे - एक अत्यधिक विश्वस्त सामाजिक-इन्जिनियरिङ रणनीति।
AVAX समुदायमा प्रवेश गर्नुहोस्
हाम्रो पीडित क्रिप्टोमा सबैभन्दा बलियो समुदायहरू मध्ये एकको हिस्सा थियो: हिमस्खलन । हिमस्खलन कार्यक्रममा, पीडितले प्राविधिक रूपमा जानकार समुदाय सदस्य, @koaservatt लाई भेटेका थिए, जो मद्दत गर्न तयार थिए। परिस्थितिको जटिलतालाई बुझ्दै, @koaservatt ले पीडित र मलाई जोडे। त्यस क्षणदेखि, हामीले एउटा सानो तर दृढ उद्धार टोली गठन गर्यौं।
"सुरुदेखि अन्त्यसम्म उद्धारको आयोजना गरेकोमा, हिमस्खलनको पी-चेन स्टेकिंग मेकानिक्सको बारेमा अनौठो अन्तर्दृष्टि साझा गरेकोमा, र लगभग एक हप्तासम्म जागा रहनुभएकोमा @koaservatt लाई चिच्याउनुहोस्। यो क्रिप्टो संसारमा सामुदायिक समर्थनको शक्ति हो।"
बोट विरुद्ध बोट युद्धको योजना बनाउँदै
हामीसँग हिस्सेदारी समाप्त हुनुभन्दा सात दिन अगाडि थियो। त्यो हिस्सेदारी हस्तान्तरणयोग्य हुने बित्तिकै, या त ह्याकरको बोटले AVAX दाबी गर्नेछ - या हामी गर्नेछौं। सफल हुनको लागि, हामीलाई सावधानीपूर्वक तयार पारिएको योजना र हाम्रो आफ्नै काउन्टर-बट आवश्यक थियो। तल मुख्य चुनौतीहरू थिए:
एक पेशेवर चोर
"ह्याकरले धेरै मानिसहरूबाट चोरी गरेको थियो र २४/७ अनलाइन थियो। त्यो उनीहरूको एक मात्र काम थियो - चोरी गर्नु। तर हामीसँग दैनिक कामहरू छन्, त्यसैले हाम्रो बोट असाधारण रूपमा तीखो र छिटो हुनुपर्छ।"
पी-चेनमा अपरिचित क्षेत्र
"सामान्य EVM (C-chain) भन्दा Avalanche P-chain मा फरक लेनदेन तर्क छ। यहाँ कुनै पनि सामान्य EVM-आधारित दृष्टिकोणले काम गर्दैन। हामीले Avalanche को कागजात, लेनदेन ढाँचा र कोड पुन: हेर्नुपर्यो।"
ब्लकचेनको संरचनाहरू पूर्ण रूपमा बुझ्नको लागि म सधैं आधिकारिक कागजातहरू र खुला-स्रोत भण्डारहरू पढ्न सिफारिस गर्छु। हामीले प्रयोग गरेका केही स्रोतहरू यहाँ छन्:
साथै, यदि तपाईं बोट आर्किटेक्चरलाई कसरी हेर्ने र स्मार्ट अनुबंध कोड कसरी कल्पना गर्ने भन्ने बारे थप जानकारी चाहनुहुन्छ भने, मेरो HackerNoon लेख हेर्नुहोस्: स्मार्ट अनुबंध कोडहरू: तपाईंले यसलाई कसरी हेर्नुहुन्छ बनाम ह्याकरले यसलाई कसरी हेर्छ।
७-दिने काउन्टडाउन सुरु हुन्छ
घडीको विरुद्धमा दौडँदा हप्ता कसरी अगाडि बढ्यो भनेर तल दिइएको छ:
दिन १-२: हिमस्खलन पी-चेनमा गहिरो डुबुल्की मार्न
"यदि तपाईं ब्लकचेन नेटवर्कमा बटहरूसँग लड्न चाहनुहुन्छ भने, तपाईंले कोड स्तरमा नेटवर्कको अध्ययन गर्न आवश्यक छ।"
पहिलो दुई दिन, मैले एभलान्चको गिटहब रिपो र आधिकारिक कागजातहरूमा आफूलाई डुबाएँ। पी-चेनको लेनदेन संयन्त्र सामान्य EVM तर्क भन्दा फरक छ, त्यसैले पूर्ण बुझाइ महत्त्वपूर्ण थियो।
दिन ३: वालेट र परीक्षण वातावरणको आवश्यकता
"हामीलाई Avalanche को P-chain मा धेरै परिदृश्यहरू परीक्षण गर्न आवश्यक थियो। यद्यपि, P-chain को लागि एक मात्र आधिकारिक वालेट एप, 'Core', अचानक परियोजना टोली द्वारा हटाइयो। यसले गर्दा उल्लेखनीय ढिलाइ भयो।"
मानक वालेट इन्टरफेस बिना, हामीले P-चेन लेनदेनहरू प्रयोग गर्न आफ्नै परीक्षण वातावरण र स्क्रिप्टहरू बनाउनु पर्यो। यसले हामीलाई केही दिन पछाडि धकेल्यो।
दिन ४: ह्याकरको अन-चेन चालहरू
"मैले अन-चेनमा हेरेँ कि ह्याकरले तयारी गर्न थालेको थियो। स्पष्ट रूपमा, तिनीहरू पनि स्ट्याकिंगको अन्त्यको लागि तयारी गरिरहेका थिए। समय छोटो हुँदै गइरहेको थियो।"
मैले बोटले गर्न सक्ने हरेक सम्भावित कारोबारको सावधानीपूर्वक नक्साङ्कन गरें र हाम्रो काउन्टर-बटले कसरी प्रतिक्रिया दिन सक्छ भनेर क्रस-रेफरन्स गरें। हामीलाई गति र परिशुद्धता चाहियो।
दिन ५-६: हाम्रो उद्धार बोटको अन्तिम परीक्षण
"इथेरियमको 'डार्क फरेस्ट' मा बटहरूसँग लड्ने बारेमा ड्यान रोबिन्सनको पौराणिक लेख सम्झँदा, मलाई उनको चेतावनी याद आयो: 'तपाईंले यी बटहरूलाई कम आँकलन गर्ने उच्च सम्भावना छ।' त्यसैले मैले धेरै पटक सबै कुरा परीक्षण गरें।"
हामीले कोड लेख्यौं, थोरै मात्रामा परीक्षण गर्यौं, र परिष्कृत गर्यौं। P-chain मा ह्याकरको बोटलाई पराजित गर्न हामीले धेरै साना "आश्चर्य"हरू एकीकृत गर्यौं।
यस प्रकारका उच्च-दांवयुक्त ब्लकचेन बोट परिदृश्यहरूबाट उत्सुक व्यक्तिहरूका लागि, यहाँ ड्यान रोबिन्सनको प्रभावशाली अंश छ: इथेरियम एक अँध्यारो वन हो।
अन्तिम दिन: स्ट्याकिंग अनलक र शोडाउन
"जब दांव समाप्त भयो, हाम्रो उद्धार बोटले AVAX उपलब्ध भएको ठीक सेकेन्डमा आफ्नो कारोबार कार्यान्वयन गर्नुपर्यो। यो या त हामी थियौं या ह्याकर।"
हामीले हाम्रो बोट तैनाथ गर्यौं — जुन प्रत्येक चरणलाई आणविक रूपमा प्रशोधन गर्न डिजाइन गरिएको थियो:
- तुरुन्तै AVAX सुरक्षित वालेट ठेगानामा स्थानान्तरण गर्नुहोस्।🎯
- निश्चित P-चेन लेनदेन सूक्ष्मताहरू र सावधानीपूर्वक समयबद्ध कलहरूको फाइदा उठाएर ह्याकरको बोटलाई हाम्रो लेनदेन अगाडि बढाउनबाट रोक्नुहोस्।🎯
यसले काम गर्यो। हाम्रो बटले ह्याकरको बटलाई उछिनेर सबै $९०,००० मूल्यको AVAX सुरक्षित गर्यो। लेनदेन टुंगियो, र हामीले तुरुन्तै पुष्टि गर्यौं कि कोषहरू नयाँ उत्पन्न, सम्झौता नगरिएको ठेगानामा सुरक्षित छन्। 😅🎉🎊
"हामी सफल भयौं! ब्लकचेनको अँध्यारो जंगलमा, हामी विजयी भयौं र $९०,००० बचत गर्यौं। यो ठूलो राहत थियो!" 🥇
निष्कर्ष
हिमस्खलनको पी-चेनमा भएको यो तीव्र, हप्ता लामो युद्धले धेरै महत्त्वपूर्ण पाठहरू हाइलाइट गर्दछ:
- ब्लकचेन कागजात महत्वपूर्ण छ - कुनै विशेष शृङ्खलामा लेनदेन कसरी काम गर्छ भन्ने आधारभूत कुराहरू बुझ्नु नै सफलता र असफलता बीचको भिन्नता हो।
- बटहरू कहिल्यै सुत्दैनन् - स्वीपर र अगाडि-रनिङ बटहरू अथक हुन सक्छन्। यदि तपाईंको निजी कुञ्जीहरू सम्झौता गरिएका छन् भने, कुनै पनि सामान्य लेनदेन लगभग असम्भव छ। मौका खडा गर्न तपाईंलाई एक बलियो, रचनात्मक योजना (र प्रायः, एक अनुकूलन बट) चाहिन्छ।
- समुदायको सहयोग महत्वपूर्ण छ - हिमस्खलन समुदाय (विशेष गरी @koaservatt ) बिना, हामीले यो उद्धार समयमै कहिल्यै हासिल गर्न सक्ने थिएनौं।
- ह्याकरको बोटलाई कहिल्यै कम आँकलन नगर्नुहोस् - तिनीहरू छिटो, समर्पित र वातावरणमा पूर्ण रूपमा ट्युन हुन्छन्। तपाईंको कोड छिटो र बढी चालाक हुनुपर्छ।
- आफ्नो बीउ वाक्यांशहरूलाई सधैं सुरक्षित राख्नुहोस् - रोकथाम नै उत्तम रक्षा हो। कहिल्यै पनि आफ्ना बीउ शब्दहरू साझा नगर्नुहोस् - विशेष गरी शंकास्पद वेबसाइटहरूमा वा सामाजिक सञ्जालहरूमा अपरिचितहरूसँग होइन।
अन्तिम शब्द
अन्तमा, हामीले बाधाहरूलाई जित्यौं, ह्याकरको स्वीपर बोटलाई जित्यौं, र स्ट्याक गरिएको AVAX को $९०,००० सुरक्षित गर्यौं। यदि तपाईं कहिल्यै ब्लकचेनको अँध्यारो जंगलमा हराउनुभयो भने, याद गर्नुहोस् कि पर्याप्त प्राविधिक ज्ञान, समुदाय समर्थन, र थोरै रचनात्मकताको साथ, लगभग सधैं बाहिर निस्कने बाटो हुन्छ।
के तपाईंलाई कुनै कथा चाहिन्छ वा मद्दत चाहिन्छ? म संचारको लागि X (ट्विटर) मात्र प्रयोग गर्छु र रिकभरी सहायता खोज्ने व्यक्तिहरूबाट दैनिक सन्देशहरू प्राप्त गर्छु। यदि तपाईं सम्झौता गरिएको खाताबाट टोकनहरू पुन: प्राप्त गर्ने बारे विचार-विमर्श गर्न चाहनुहुन्छ भने, हामीलाई सम्पर्क गर्न नहिचकिचाउनुहोस्।
यदि तपाईं ह्याक गरिएका खाताहरूबाट फिर्ता गर्नुपर्ने रकमको बारेमा सहयोग गर्न वा विचार विमर्श गर्न चाहनुहुन्छ भने, तपाईंले मेरो ट्विटर खातामा सन्देश पठाउन सक्नुहुन्छ।
सन्दर्भ र थप पठन:
- एभलान्चगो गिटहब
- हिमस्खलन पी-चेन लेनदेन ढाँचा
- डान रोबिन्सनको "इथेरियम एक अँध्यारो वन हो"
- अघिल्लो ह्याकरनून उद्धार कथा
ह्याप्पी ह्याकिङ 🤖, ०xSmartContract
